WLAN-Sicherheit
Aus dslwiki.de
Inhaltsverzeichnis |
Allgemeine Hinweise
Weil ein drahloses Netzwerk (WLAN) viel unsicherer ist als ein drahtgebundenes Netzwerk, sollte es wenn möglich vermieden werden. Die Reichweite des WLANs sollte den Bedürfnissen angepasst sein. Dies bedeutet, dass die WLAN-Abdeckung nur dort vorhanden ist, wo man sie nutzt. Die WLAN-Abdeckung kann mit Antennen oder auch mit der im Gerät eingestellten Sendeleistung variert werden (wenn das Gerät über die Möglichkeit hierzu verfügt).
Jedes WLAN-Gerät kann via WLAN oder LAN konfiguriert werden und ist normalerweise mit einem Login Passwort geschüzt (das default Passwort ist im Handbuch des Gerätes zu finden). Dieses Passwort sollte sofort gegen ein eigenes getauscht werden. Bei machen Modelle kann man explizit angeben, welches Protokoll (http, https, ftp, telnet) zugelassen wird und welcher Computer die Verbindung aufbauen darf. Die Möglichkeit Einstellungen über das WLAN vorzunehmen sollte deaktiviert werden und ungenutzte Protokolle ebenfalls. Bei statisch vergebener IP kann man die IP seines Rechners zu den vertrauenswürdigen IPs hinzufügen.
Gute Passwörter sind wichtige für die Sicherheit. Denn bei einem schlecht gewählten Passwort nützen die besten Sicherheitseinstellungen nichts. Wie ein gutes Passwort sein sollte können sie hier nachlesen: Passwörter
MAC-Filter
Jedes Netzwerkgerät besitzt eine eindeute Kennung, die MAC-Adresse (Medium Access Control). Anhand dieser Adressen kann man in AP und Router einen Filter anlegen, anhand diesem nur diejenigen Gerät, die im Filter stehen beachtet oder ignoriert werden. Es ist jedoch möglich mit der passenden Software, diese MAC-Adressen frei zu varieren und jede beliebige MAC-Adresse zu generieren. Darum ist der MAC-Adressen-Filter kein zuverlässiger Schutz für ein drahtloses Netzwerk, denn jeder der sich ein bisschen mit der Technik auskennt kann ihn aushebeln. Grundsätzlich sollte aber immer besser ein schlechterer Schutzmechanismus eingesetzt werden, als komplett auf einen Schutz zu verzichten. Dies hält zumindest "Gelegenheits-WLAN-Piraten" davon ab, sich in fremde Netzwerkwerke "einzuklinken".
SSID
Das SSID (Service Set Identifier) ist der Name eines WLAN's. Üblicherweise wird er automtisch übertragen und damit kennt jeder, der in den Wirkungskreis eines WLAN gerät diesen Namen. Somit ist er auch schon eine Schritt weiter um in ein Netzwerk einzudringe. Deshalb bieten viele WLAN-Geräte eine Option das automatische Sendungen der SSID zu unterbinden, was nicht nur Vorteile bringt. Die SSID abzuschalten ist als Sicherheitsmassnahme, wie auch der MAC-Filter, vollkommen unzureichend. Die SSID kann jeder, auch wenn sie abgeschaltet ist, mit geeigneter Software herauslesen.
WEP
Dies ist ein relativ altes Verschlüsselungsverfahren, welches einen Schlüssel mit 64/128/256 Bit Breite benutzt. Weil dieses Verfahren auf einem Algorythmus basiert, der nur pseudo zufällig ist, ist es als nicht mehr sicher zu betrachten. Bei einfachen Schlüsseln lässt sich diese sehr schnell herausfinden (innerhalb wenigen Minuten), aber auch sonst braucht es nur eine geringe Anzahl Daten um den Schlüssel daraus herauslesen können. Auch die Verbesserungen des WEP mit einem shared Key bringt keine wesentliche Erhöhung der Sicherheit mit sich. Die Empfehlung lautet deshalb nur bei keiner anderen Wahl (WPA/WPA2) WEP verwenden. Diesen jedoch dann mit einem möglichst langen und komplizierten Schlüssel (128 und 256 Bit) absichern.
WPA
WPA ist entstanden, da WEP keine zuverlässige Sicherheit bieten kann. WPA ist sicherer, da es mit dynamischen Schlüsseln arbeitet. Der Verschlüsselungsalgorithmus ist jedoch der gleiche wie bei WEP. Die Gefahr beim WPA besteht hauptsächlich, wenn der Benutzer einen zu einfachen Schlüssel verwendet. WPA gilt als sichere Massnahme, wenn ein guter Schlüssel gewählt wurde.
WPA2
WPA2 ist der direkte Nachfolger von WPA. Anders als bei WPA und WEP wird hier ein anderer Verschlüsselungsalgorithmus verwendet, der (momentan) als unüberwindbar gilt. Damit stellt WPA2 die höchste Sicherheitsstufe für das eigene WLAN dar. Die Anforderung an die Hardware ist jedoch höher als bei WPA. Deshalb ist es bei einigen Geräten nicht möglich ist, diese Funktion durch ein Firmware Upgrade freizuschalten. Jedoch sollten auch hier die Schlüssel nicht (zu) einfach gewählt werden.
Weitere Tipps für WLAN-Sicherheit findet man auch im folgenden Thread aus dem DSL-Team.de Forum: http://www.dslclub.de/forum/showthread.php?t=97198
